1 Tax Compliance Management System

Der Begriff "Tax Compliance Management System (TCMS)" ist derzeit in aller Munde. Dies beruht u. a. auf einer Änderung des Anwendungserlasses zur Abgabenordnung (AEAO) aus dem Jahr 2016. Die lange erwartete Änderung des AEAO zu § 153 geht auf die Unterscheidung zwischen einer bloßen Berichtigung von Steuererklärungen (§ 153 AO) und einer – wesentlich strengeren Voraussetzungen unterliegenden – Selbstanzeige (§§ 371, 378 Abs. 3 AO) ein und sieht die Grenze einer Berichtigung nach § 153 AO dann als überschritten, wenn die allgemeinen Voraussetzungen von Vorsatz oder Leichtfertigkeit erfüllt sind. Als Indiz gegen das Vorliegen von Vorsatz oder Leichtfertigkeit kann insbesondere ein innerbetriebliches Kontrollsystem für die Erfüllung steuerlicher Pflichten dienen. Dies aufnehmend, hat das Institut der Wirtschaftsprüfer (IDW) mit dem kürzlich veröffentlichten IDW Praxishinweis 1/2016 zur „Ausgestaltung und Prüfung eines Tax Compliance Management Systems gemäß IDW PS 980“ die Anforderungen an ein wirksames TCMS konkretisiert und u. a. die Analyse von Compliance Risiken als eines der wesentlichen Grundelemente eines TCMS aufgeführt.

Steuerberatung, Tax-CMS, Compliance

Abb. 1 Grundelemente des TCMS

Der Praxishinweis fordert in Tz. 40 die Einführung eines „der Unternehmensorganisation angemessenen Verfahrens zur systematischen Risikoerkennung und -beurteilung“.

Mitte Dezember 2022 hat der Gesetzgeber im Rahmen des DAC7 Umsetzungsgesetzes den neuen § 38 in das EGAO eingefügt. Mit ihm wird Unternehmen – zunächst zeitlich befristet bis 2027 – die Möglichkeit gegeben, auf Antrag für die nächste Außenprüfung Erleichterungen in Art und Umfang der Ermittlungen zu erhalten. Voraussetzung dafür ist, dass im Rahmen einer Außenprüfung das vom Steuerpflichtigen eingeführte Steuerkontrollsytem (TCMS) für wirksam befunden wurde und keine Veränderungen der Verhältnisse eingetreten sind. Änderungen am Steuerkontrollsystem sind zu dokumentieren und der Finanzbehörde unverzüglich mitzuteilen. § 38 Abs. 1 Satz 2 verweist darauf, dass das TCMS die steuerlichen Risiken laufend abbilden muss.

Somit müssen Unternehmen ihr TCMS basierend auf einer entsprechenden Risikoanalyse ausprägen.

2 Anforderungen an die Risikoanalyse

Auf den ersten Blick erscheint es naheliegend, dass die Risikoanalyse im Rahmen eines TCMS-Projekts ähnlich einer Tax Due Diligence Prüfung aufgebaut ist. Dies ist jedoch nur bedingt der Fall. Führt man sich die unterschiedlichen Zielsetzungen einer Due Diligence bzw. einer Unternehmenstransaktion und eines TCMS-Projekts vor Augen, wird schnell klar, dass es im Fall der Tax Due Diligence Prüfung lediglich darauf ankommt, die steuerlichen Risiken zu einem bestimmten Zeitpunkt zu identifizieren und das Ausmaß der Risiken einzuschätzen. Bei der Risikoanalyse im Rahmen eines TCMS-Projekts kommt es neben Identifizierung und Bewertung des Risikos insbesondere auch darauf an, zu untersuchen, wie bzw. warum es zu einem steuerlichen Risiko kommt. Damit kommt neben der materiell steuerrechtlichen Prüfung vor allem der Analyse der operativen und administrativen Prozesse, im Verlaufe derer die steuerlich relevanten Daten erhoben werden, eine besondere Bedeutung zu. Ziel der Risikoanalyse ist es ja letztendlich "Grundsätze und Maßnahmen .. (einzuführen)..., die den Tax Compliance-Risiken entgegenwirken und damit auf die Vermeidung von Compliance-Verstößen ausgerichtet sind."

3 Vorbereitende Maßnahmen, Scoping

Der Praxishinweis betont an verschiedenen Stellen, dass das innerbetriebliche Kontrollsystem zur Erfüllung der steuerlichen Pflichten (so im Anwendungserlass zu § 153 AO) = TCMS angemessen sein muss. § 38 EGAO spricht zwar nicht explizit von einer Angemessenheit des Steuerkontrollsystems, allerdings ist unbestritten, dass die Wirksamkeit des Kontrollsystems dessen Angemessenheit voraussetzt.

Kriterien für die Ausgestaltung des angemessenen TCMS nennt der Praxishinweis in Rn. 24. Demnach hängt die Ausgestaltung eines TCMS vor allem von den nachfolgenden Faktoren ab:

Clever-Tax, Steuerberater, Consulting

 

Abb. 2 Faktoren für die Angemessenheit des TCMS eines Unternehmens

Damit ist der erste Schritt im Rahmen der Risikoanalyse die Aufnahme des Geschäftsmodells des Unternehmens (oder der Unternehmensgruppe) und der relevanten Aufbau- und Ablauforganisation. Basis dafür ist regelmäßig ein anhand vorhandener Dokumente (Geschäftsberichte, Prozessbeschreibungen, etc.) und ergänzender eigener Recherchen vorstrukturiertes Gespräch mit der Geschäftsleitung, in dessen Rahmen

  • das Umfeld des Unternehmens (nationale oder internationale Ausrichtung der Geschäftstätigkeit; Branche und Betätigungsfelder; Kundenkreis),
  • die Größe und Struktur des Unternehmens (Größe, Rechtsform, Organisationsstruktur, Art und Umfang der Geschäftstätigkeit; Anteilseigner- bzw. Gesellschafterstruktur) sowie
  • die interne Organisation (Grad der Delegation von Aufgaben auf Unternehmensexterne, Grad der arbeitsteiligen Bearbeitung und der unternehmensinternen Delegation von Aufgaben)


vor allem mit dem Fokus auf steuerrelevante Themen erfasst und die Rahmenbedingungen des TCMS bestimmt werden können.

In einem nachfolgenden Interview mit dem CFO, Leiter Steuern, Leiter Rechnungswesen (immer abhängig von der Unternehmensstruktur und Größe) sollten diese Informationen dann vertieft werden. Hier sollte der Fokus darauf liegen, festzustellen, welche Organisationseinheiten an steuerlich relevanten Prozessen mitwirken bzw. steuerlich relevante Informationen bereit stellen (sollten) bzw. benötigen.

Eine zu schnelle Fokussierung nur auf die Buchhaltung bzw. für die Steuerdeklaration Verantwortlichen ist hier zu vermeiden, da zumeist in den Unternehmen mehr Personen/Abteilungen in steuerlich relevante Prozesse involviert sind. Regelmäßig sind das u. a. der Vertrieb, die Personalabteilung, etc. oder auch externe Dienstleister, nicht zuletzt Steuerberater.

Soweit die Geschäftsprozesse nicht bereits gut bekannt und dokumentiert sind, ist es hilfreich, insbesondere den Vertriebsprozess von der Anbahnung bis zur Faktura, den Einkaufsprozess von der Bedarfsmeldung bis zur Zahlung der Rechnung und weitere mögliche steuerrelevante Prozesse, wie z. B. die Einstellung von Zeitarbeitskräften oder freien Mitarbeitern (liegt ggf. Scheinselbstständigkeit vor?), zumindest grob aufzunehmen.

Siehe dazu auch die nachstehende Abbildung zur Verdeutlichung, in welchen Prozessen/Bereichen steuerlich relevante Entscheidungen getroffen oder welche Bereiche für die Einhaltung steuerlicher Vorschriften (mit-)verantwortlich sein können. 

Umsatzsteuer

 

Abb. 3: Steuerrelevanz von Prozessen über die Wertschöpfungskette

Ergänzend können im Nachgang im Rahmen einer Anforderungsliste weitere vertiefende Informationen und Dokumente angefordert werden.

Aus den im Rahmen dieser Gespräche gewonnenen Erkenntnissen kann abschließend abgeleitet werden, welche Prozesse und Bereiche im nächsten Schritt eingehender untersucht werden müssen.

4 Aufnahme der bestehenden Strukturen des innerbetrieblichen Kontrollsystems (TCMS)

Nachdem bereits ein Überblick über das Geschäftsmodell des Unternehmens besteht und Schwerpunkte der Risikoanalyse gesetzt wurden, werden nun im Wege einer Mitarbeiterbefragung die wesentlichen Informationen zu steuerlichen Vorgängen und Prozessen abgefragt. Erster Ansprechpartner hierfür ist die Steuer- und/oder Buchhaltungsabteilung des Unternehmens. Die Mitarbeiter der Steuer- und/oder Buchhaltungsabteilung sollten im Idealfall zu allen steuerlich relevanten Sachverhalten innerhalb des Unternehmens Auskünfte geben können sowie Zugriff auf die meisten steuerlich relevanten Dokumente haben. Ferner sind bei den Mitarbeitern der Steuer- und Buchhaltungsabteilung Auskünfte zu den Prozessen betreffend die Erstellung von Steuererklärungen und -anmeldungen, Steuerzahlung und Fristenkontrolle zu erfragen.

Da – wie oben dargestellt – zahlreiche andere Bereiche des Unternehmens Berührungspunkte zu steuerlich relevanten Sachverhalten haben, ist die Befragung auch auf Mitarbeiter anderer Unternehmensbereiche auszudehnen. Zur vollständigen Aufnahme der den steuerlichen Sachverhalten zugrunde liegenden Prozesse und der bereits vorhandenen Kontrollstrukturen ist es unumgänglich, auch die anderen Bereiche des Unternehmens zu befragen.

So ist es z. B. im Bereich der Analyse der umsatzsteuerlichen Risiken im Rahmen des Vorsteuerabzugs auch notwendig, die für den Einkauf zuständigen Mitarbeiter und die Mitarbeiter der Buchhaltung einzubeziehen. 

Es empfiehlt sich, die jeweiligen Prozesse und Kontrollen strukturiert zu dokumentieren, insbesondere auch, um Anpassungsbedarfe in den Prozessen zu ermitteln und als Basis für die Dokumentation des im weiteren Projektverlauf eingerichteten bzw. angepassten TCMS.

Zur Dokumentation empfehlen sich Prozess-Flowcharts, in denen wesentliche Prozessschritte, Entscheidungen sowie Kontrollen und eingesetzte IT-Systeme inklusive der jeweiligen Verantwortlichkeiten dargestellt werden.

Einkommensteuer, Steuererklärungen

Abb. 4: Beispiel eines Prozess-Flowcharts zur grafischen Dokumentation relevanter Prozesse

Für die Dokumentation der Kontrollstrukturen hat sich die Form der Risiko-Kontroll-Matrix bewährt, in denen die Kontrollen nach Art, Häufigkeit und Verantwortung dokumentiert und bewertet werden können.

Jahresabschluss

 

Abb. 5: Beispiel einer Risiko-Kontrollmatrix

Für die Gespräche zur Erfassung der Prozesse und Kontrollstrukturen mit den Mitarbeitern der Abteilungen wird in der Regel auf relativ umfangreiche Fragelisten zurückgegriffen. Das bloße Ausgeben von Fragebögen kann nach der bisherigen Erfahrung der Verfasser die Befragung der Mitarbeiter nicht ersetzen. Dies trifft insbesondere bei Mitarbeitern außerhalb von Buchhaltung und Steuerabteilung zu. Zudem können die wesentlichen Schwachstellen häufig auch erst durch eine entsprechende Lenkung des Gesprächs und zielgerichtetes Nachfragen aufgedeckt werden. 

Die aufgenommenen Prozesse und Kontrollstrukturen werden anschließend analysiert und unter Risikoaspekten bewertet.


5 Darstellung der wesentlichen Risiken und Risikobewertung

Die Darstellung der wesentlichen Risiken und deren Bewertung erfolgt in Berichtsform. Im Rahmen der Berichterstellung gilt es die zahlreichen gewonnenen Informationen zu strukturieren und den einzelnen Steuerarten bzw. Problemfeldern zuzuordnen. Wie bereits dargestellt, soll der Bericht nicht lediglich eine Auflistung der materiell-rechtlichen Risiken enthalten, sondern sich auch auf die Prozesse beziehen, die den Risiken zugrunde liegen. Daher bietet es sich an, das identifizierte Risiko zunächst abstrakt zu erläutern ("Brutto-Risiko"). Im nächsten Schritt sollte im Rahmen einer Darstellung des Status quo aufgezeigt werden, ob bereits Prozesse definiert sind oder Hilfsmittel existieren, die eine Verringerung oder Vermeidung der im Rahmen der Darstellung des Brutto-Risikos negativen steuer- und/oder strafrechtlichen Folgen gewährleisten.

Sodann ist darzustellen, wie hoch das Risiko unter Berücksichtigung der gegebenenfalls bereits vorhandenen Mechanismen ist ("Netto-Risiko"). Schließlich ist das verbleibende Netto-Risiko zu bewerten und je nach Höhe von Eintrittswahrscheinlichkeit und wirtschaftlicher Auswirkung in verschiedene Risikokategorien (z. B. gering, mittel, hoch) einzuteilen. Sofern das Risiko als "mittel" oder "hoch" eingestuft wurde, sollte letztlich noch ein Hinweis erfolgen, welche (weiteren) Maßnahmen erforderlich sind, damit das Risiko auf die Risikokategorie "gering" herabgesetzt werden kann.

Für die Einschätzung der Risiken kann es hilfreich sein, die Risiken nach verschiedenen Kategorien zu gliedern:

CMS, Tax-CMS, Jan Zeren

Abb. 6: Mögliche Risikokategorien im Bereich TCMS

6 Fazit

Im Ergebnis bleibt festzuhalten, dass die Risikoanalyse ein wesentlicher Bestandteil bei der Einführung eines TCMS ist. Je sorgfältiger und detaillierter die vorhandenen Risiken und die ihnen zugrunde liegenden Prozesse analysiert werden, umso besser kann das zu installierende TCMS ausgestaltet werden. Um die benötigte Sorgfalt und Tiefe der Risikoanalyse gewährleisten zu können, ist es erforderlich, die Vorgehensweise individuell auf das jeweilige Unternehmen anzupassen und schon im Vorfeld die richtigen Schwerpunkte zu setzen.

Es ist zu empfehlen, die Risikoanalyse regelmäßig bzw. bei wesentlichen Anpassungen des Geschäftsmodells (neue Organisationsstruktur, Erschließung neuer Märkte) sowie bei wesentlichen gesetzlichen Veränderungen auf Aktualität zu prüfen und gegebenenfalls anzupassen.

Da Steuerpflichtige, um in den Genuss der Erleichterungen des § 38 EGAO zu kommen, ein Steuerkontrollsystem einrichten müssen, das die steuerlichen Risiken laufend abbildet und im Rahmen einer Außenprüfung als wirksam befunden wird, ist eine Risikoanalyse eine unerlässliche Maßnahme. Dazu ist ein systematisches Vorgehen unumgänglich.